Alisina NawabiEen datalek begint zelden met een geniale hacker en een scherm vol groene code. Het begint met een wachtwoord dat ergens anders ook al gebruikt werd, een firewall die maanden niet is bijgewerkt, of een pakket dat een ontwikkelaar zonder nadenken installeerde. Voor een MKB-bedrijf, of een afdeling binnen een grotere organisatie, voelt 'cybersecurity' al snel als iets voor specialisten met dure tooling. Dat is het niet. Het overgrote deel van de aanvallen is geautomatiseerd en mikt op de basis, en die basis kun je zelf nalopen.
Deze gids is voor de ondernemer of teamlead die geen eigen security-afdeling heeft, maar wel als eerste wordt gebeld als het misgaat. Je hoeft geen pentester te zijn. Je hebt een paar uur nodig, toegang tot je eigen systemen en de bereidheid om eerlijk op te schrijven wat er nog niet klopt. Het kader dat ik aanhoud sluit aan op de 56 basismaatregelen die het CIS omschrijft als essentiele cyberhygiene, het minimum dat elke organisatie zou moeten halen, vertaald naar vijf lagen die je in volgorde afloopt.
Wat je nodig hebt
Voordat je begint, leg je het volgende klaar. Het scheelt later terugbladeren.
- Een lijst van wat je hebt. Welke systemen, accounts, apparaten en leveranciers gebruik je? Een ruwe inventaris in een spreadsheet is genoeg om te beginnen; je kunt hem onderweg aanvullen.
- Admin-toegang. Tot je e-mail- en identiteitsbeheer (Microsoft 365, Google Workspace), je router of firewall, en de beheerconsoles van je belangrijkste tools.
- Een halve dag, zonder onderbrekingen. Een basischeck die je tussen twee meetings door propt, mis je de helft van.
- Een plek om bevindingen te noteren. Per laag schrijf je op wat al goed staat, wat moet, en wie het oppakt. Dat document is straks je actieplan.
Je hebt voor deze ronde geen betaalde scanner of consultant nodig. De duurste stap is meestal een wachtwoordmanager, en die kost minder dan een lunch per medewerker per maand.
De basischeck in vijf lagen
Een basischeck in vijf lagen brengt je van losse zorgen naar een concreet actieplan: je controleert je credentials, je netwerk, je software-afhankelijkheden, je AI-tools en je herstelplan, en je noteert per laag wat al goed staat en wat moet. In een halve dag heb je een eerlijk beeld en de drie urgentste acties op een rij.
Loop de vijf lagen in deze volgorde na, van wat het vaakst misgaat naar wat het meeste schade aanricht.
1. Credentials en toegang
Dit is de laag waar de meeste inbraken beginnen, en dus waar je het meeste rendement haalt.
Rol een wachtwoordmanager uit voor iedereen. Hergebruikte en zwakke wachtwoorden zijn nog altijd de makkelijkste deur. Een wachtwoordmanager genereert per dienst een uniek, lang wachtwoord en deelt zakelijke logins via kluizen in plaats van via een berichtje. Bitwarden voor teams begint bij 4 dollar per gebruiker per maand bij jaarlijkse betaling, de enterprise-variant met single sign-on en beleidsregels kost 6 dollar; 1Password Business zit op 7,99 dollar. Het exacte merk is minder belangrijk dan dat iederéén hem gebruikt.
Zet MFA overal aan, en kies de phishing-bestendige variant waar het kan. Tweefactor via een sms-code is beter dan niets, maar een aanvaller kan die code laten doorgeven via een nep-inlogpagina. FIDO2-beveiligingssleutels, passkeys en Windows Hello binden de login cryptografisch aan het echte domein, waardoor een nagemaakte pagina niet werkt. Microsoft rekent precies die methoden tot de sterkste authenticatieklasse en raadt ze aan voor alle beheerdersrollen. Begin met je beheerders en je e-mailaccounts; dat zijn de sleutels tot de rest.
Roteer wat mogelijk gelekt is. Wachtwoorden lekken vaak in bulk, los van jouw eigen hygiene. Toen de inloggegevens van 75.000 Fortinet-firewalls op straat kwamen te liggen, was het enige juiste antwoord: aannemen dat ze misbruikt worden en alles roteren. Hanteer diezelfde reflex bij elk bericht dat een dienst die jij gebruikt is gehackt.
Scheid beheerdersaccounts van dagelijkse accounts en haal vertrekkende medewerkers en oude integraties direct uit je systemen. En onthoud dat de overtuigendste aanvallen op mensen mikken, niet op techniek: de beste verdediging tegen moderne phishing zit in je proces, niet in je software, bijvoorbeeld een vaste regel dat een betaalwijziging altijd telefonisch wordt bevestigd.
2. Netwerk en randapparatuur
Alles wat aan het internet hangt, is een potentiele voordeur.
Inventariseer wat van buitenaf bereikbaar is. Je firewall, VPN, NAS, camera's, een open beheerpoort. Wat je niet weet dat aanstaat, kun je niet beveiligen.
Werk firmware en software bij. Routers, firewalls en VPN's zijn geliefde doelwitten juist omdat ze zelden updates krijgen. Zet automatische updates aan waar het kan en plan een vast moment per maand voor de rest.
Sluit Remote Desktop (RDP) en kale beheerpoorten af van het open internet. Wie op afstand moet werken, doet dat via een VPN of een zero-trust-toegangslaag, niet via een poort die de hele wereld kan benaderen. Geef gasten en slimme apparaten een apart netwerk, los van je werksystemen.
3. Supply chain en afhankelijkheden
Je bent niet alleen zo veilig als je eigen code, maar ook als alles wat je installeert en koppelt.
Weet wat je draait. Maak een lijst van de software, SaaS-diensten en code-pakketten waar je bedrijf op leunt. Elke koppeling tussen je tools, van je webshop tot je boekhouding, is ook een sleutel die iemand kan misbruiken als hij in verkeerde handen valt.
Pin je afhankelijkheden vast. Voor wie zelf software (laat) bouwen: commit je lockfile en installeer met npm ci in plaats van npm install, zodat een build altijd exact dezelfde versies pakt. pnpm installeert sinds versie 11 standaard pas pakketten die minstens 24 uur oud zijn, precies het venster waarin de meeste kwaadaardige uploads worden ontdekt en verwijderd. Schakel install-scripts standaard uit en sta alleen vertrouwde pakketten toe.
De dreiging is concreet: ruim 140 npm-pakketten voor AI-agenten raakten besmet met een credential-steler via het Mastra-framework. Een ontwikkelaar die zo'n pakket installeert, geeft de aanvaller in stilte zijn sleutels. Een installatievenster van een dag had dat grotendeels gestopt.
4. AI-tools en gateways
AI-tools zijn de nieuwste laag op je aanvalsoppervlak, en de meest onderschatte. Een AI-gateway of low-code-agentplatform heeft toegang tot je data, je API-sleutels en vaak je interne systemen.
Behandel je AI-infrastructuur als productiesoftware. Drie lekken in LiteLLM gaven gewone gebruikers admin-rechten en code-uitvoering op de AI-gateway, en de kritieke Langflow-kwetsbaarheid CVE-2026-5027 werd actief misbruikt. Patch deze tools net zo snel als je je firewall patcht.
Zet nooit een AI-tool zonder authenticatie open op het internet en geef hem niet meer rechten dan hij nodig heeft. Of je self-host of de cloud gebruikt is een afweging op zich, en self-hosted geeft je meer controle over je data en je aanvalsoppervlak, mits je het onderhoud serieus neemt.
Spreek af welke data in welke tool mag. Plak geen klantgegevens of geheimen in een prompt zonder te weten waar ze landen. Wie AI inzet, loopt sowieso tegen governance-eisen aan; een praktische nalevingschecklist voor de AI Act helpt je dat gestructureerd vast te leggen.
5. Herstelplan en back-ups
De vorige vier lagen verkleinen de kans. Deze laag bepaalt of een incident een vervelende dag wordt of een faillissement.
Volg de 3-2-1-regel: drie kopieen van je data, op twee soorten media, met een kopie off-site. De moderne uitbreiding, 3-2-1-1-0, voegt een onveranderbare of air-gapped kopie toe en nul herstelfouten, juist omdat ransomware tegenwoordig eerst de back-ups zoekt. Een back-up die de aanvaller ook kan versleutelen, is geen back-up.
Test het herstel, niet alleen de back-up. De enige back-up die telt, is degene waarvan je hebt bewezen dat je hem kunt terugzetten. Plan een keer per kwartaal een echte hersteltest.
Leg een incidentplan op papier, offline. Wie bel je, in welke volgorde, met welke contactgegevens? Een plan dat alleen in het systeem staat dat plat ligt, is onbereikbaar op het moment dat het telt. Vergeet daarbij je vergeten bezittingen niet: een verlopen domeinnaam werd ooit een datalek omdat niemand nog wist dat hij bestond. Oude accounts, domeinen en servers blijven een risico tot je ze bewust opruimt.
Valkuilen
De meeste basischecks stranden niet op onwil, maar op een paar terugkerende denkfouten.
- Tools kopen en niet configureren. Een wachtwoordmanager of MFA-licentie die in een la ligt, beschermt niemand. De uitrol en de adoptie zijn het werk, niet de aankoop.
- MFA via sms voor lief nemen. Beter dan niets, maar te omzeilen. Voor je belangrijkste accounts is een phishing-bestendige methode het doel.
- Een ongeteste back-up. Tienduizenden bedrijven ontdekken pas tijdens een ransomware-aanval dat hun back-up onvolledig of mee-versleuteld was. Zonder hersteltest weet je het niet.
- "Wij zijn te klein om interessant te zijn." De aanvallen die jou raken zijn zelden gericht; ze scannen automatisch het hele internet af op de zwakke plekken uit lagen 1 tot en met 4.
- Schaduw-IT en ongeziene AI-tools. Wat medewerkers zelf installeren of koppelen, staat niet op jouw lijst en valt buiten je controle. Vraag er actief naar.
Kant-en-klaar vs. maatwerk
Niet elke laag vraagt evenveel. Het eerlijke beeld: de basis koop je grotendeels kant-en-klaar, het op orde houden en het koppelen aan jouw situatie is waar maatwerk loont.
| Onderdeel | Kant-en-klaar | Maatwerk loont |
|---|---|---|
| Wachtwoordmanager en MFA | Ja, standaardproducten dekken dit volledig | Alleen bij uitrol over veel medewerkers of complexe rollen |
| Patchen en netwerk | Automatische updates, ingebouwde firewall-functies | Segmentatie en monitoring bij meerdere locaties of systemen |
| Supply chain en koppelingen | Lockfiles, install-cooldown, standaardinstellingen | Eigen software, integraties en CI/CD-beleid op jouw stack |
| AI-tools en gateways | Beheerde clouddiensten met ingebouwde auth | Self-hosted opzet, eigen data-afspraken en hardening |
| Back-up en herstel | Standaard back-updiensten met 3-2-1 | Hersteltests, incidentplan en koppeling aan jouw systemen |
De vuistregel: koop de bouwstenen die een markt al goed heeft opgelost, en steek je eigen tijd of die van een specialist in de stukken die uniek zijn voor jouw bedrijf, je integraties, je data en je herstelproces. Daar zit het verschil tussen een vinkje en echte weerbaarheid.
Een basischeck is geen project met een einddatum, maar een gewoonte. De vijf lagen veranderen niet, maar de details wel: er komt een nieuw apparaat bij, een nieuwe tool, een nieuw lek dat om rotatie vraagt. Zet de check een keer per kwartaal in je agenda, houd je bevindingenlijst bij, en je verschuift van hopen dat het goed zit naar weten dat het goed zit. Dat is geen luxe voor grote bedrijven; het is precies wat een klein team binnen handbereik heeft, zonder dat het een dagtaak wordt.
